API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Jul 5th, 2013
340
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 4.81 KB | None | 0 0
raw download clone embed print report
  1. ====== SixXS IPv6 auf dem Juniper NS-5GT ======
  2.  
  3. ===== Vorbereitung =====
  4. Zuerst muss IPv6 auf dem Router aktiviert werden.
  5. <code>set envar ipv6=yes
  6. reset
  7. </code>
  8.  
  9. ===== Tunnel Setup =====
  10. Nachdem der Tunnel bei SixXS angelegt wurde, erhält man eine E-Mail - z.B.:
  11. <code>Tunnel Id : T80738
  12. PoP Name : decgn01 (de.netcologne [AS8422])
  13. TIC Server : tic.sixxs.net (which is the default in AICCU)
  14. Your Location : Pegnitz, de
  15. SixXS IPv6 : 2001:4dd0:ff00:bf3::1/64
  16. Your IPv6 : 2001:4dd0:ff00:bf3::2/64
  17. SixXS IPv4 : 78.35.24.124
  18. Tunnel Type : Dynamic (heartbeat)</code>
  19.  
  20. ==== Loopback ====
  21.  
  22. Da der Router einen kleinen [[http://bart.motd.be/configuring-ipv6-tunnel-netscreen-ssg-firewall|Bug]] hat (IPv6 Tunnel-Interfaces lassen sich nicht pingen) muss als kleiner Workaround ein Loopback-Interface mit angelegt werden. Dadurch kann SixXS den Tunnelendpunkt am Router pingen, sodass der Tunnel nicht den Status //down// annimmt.
  23.  
  24. <code>set interface loopback.1 zone "Untrust"
  25. set interface loopback.1 ipv6 mode "host"
  26. set interface loopback.1 ipv6 ip 2001:4dd0:ff00:bf3::2/128
  27. set interface loopback.1 ipv6 enable
  28. set interface loopback.1 route
  29. set interface loopback.1 manage ping
  30. unset interface loopback.1 ipv6 nd nud</code>
  31.  
  32. ==== Tunnel ====
  33. <code>set interface tunnel.1 zone "Untrust"
  34. set interface tunnel.1 ip unnumbered interface loopback.1
  35. set interface tunnel.1 ipv6 mode "host"
  36. set interface tunnel.1 ipv6 enable
  37. set interface tunnel.1 tunnel encap ip6in4 manual
  38. set interface tunnel.1 tunnel local-if untrust dst-ip 78.35.24.124
  39. set interface tunnel.1 mtu 1280
  40. unset interface tunnel.1 ipv6 nd nud</code>
  41.  
  42. ==== Route ====
  43. Es wird eine neue Route angelegt, die jeglichen IPv6-Traffic an das Tunnel-Interface weiterleitet.
  44. <code>set route ::/0 interface tunnel.1 gateway :: preference 20</code>
  45.  
  46. ==== Policy ====
  47. Für den Fall, dass Untrust Intra-Zone-Traffic blockiert wird, muss noch eine Policy angelegt werden, die es SixXS erlaubt, den Tunnelendpunkt zu pingen.
  48. <code>set policy name "SixXS monitoring" from "Untrust" to "Untrust" "Any-IPv6" "2001:4dd0:ff00:bf3::2/128" "ICMP6 Echo Request" permit</code>
  49.  
  50. ==== AICCU ====
  51. Damit SixXS die 6in4-Pakete an die richtige IPv4-Adresse routen kann, muss diese bekannt sein. Wenn der Router eine statische IPv4-Adresse im Internet hat, wurde diese bereits beim einrichten des Tunnels auf der SixXS-Website eingetragen. Eine dynamische IPv4-Adresse muss mit einer spezielle Software (AICCU) alle 60 Sekunden an SixXS gemeldet werden. AICCU ist in den Standardrepositories der meisten Distributionen vorhanden, oder kann [[http://www.sixxs.net/tools/aiccu/|hier]] heruntergeladen werden.
  52.  
  53. Die Konfigurationsdatei liegt unter ''/etc/aiccu.conf'' und sollte wie folgt aussehen:
  54. <code conf>username SIXX-USERNAME
  55. password SIXX-PASSWORD
  56. protocol tic
  57. server tic.sixxs.net
  58. ipv6_interface sixxs
  59. tunnel_id T80738
  60. automatic true
  61. daemonize true
  62. requiretls false
  63. defaultroute false
  64. setupscript /usr/local/etc/aiccu-subnets.sh</code>
  65.  
  66. Da der Tunnel vom Router aufgebaut wird, muss AICCU daran gehindert werden, diesen selbst aufzubauen. An sich kann AICCU hinter einer NAT, die nicht entsprechend konfiguriert ist, sowieso keinen funktionierenden Tunnel aufbauen, allerdings sollten entsprechende Probleme von Anfang an ausgeschlossen werden. Dazu wird das //setupscript//, das automatisch ausgeführt wird, sobald AICCU den Tunnel aufgebaut hat, verwendet.
  67.  
  68. Es wird also einfach eine __ausführbare__ Datei unter ''/usr/local/etc/aiccu-subnets.sh'' angelegt:
  69. <code bash>#!/bin/bash
  70.  
  71. ifconfig sixxs down</code>
  72.  
  73. ===== Subnet Setup =====
  74. Nachdem das Subnet bei SixXS angelegt wurde, erhält man eine E-Mail - z.B.:
  75. <code>PoP Name : decgn01 (de.netcologne [AS8422])
  76. Subnet IPv6 : 2001:6f8:1d14::/48
  77. Routed to : 2001:4dd0:ff00:bf3::2/64
  78. Your IPv4 : heartbeat</code>
  79.  
  80. ==== Trust-Interface ====
  81. SixXS teilt für ein Subnet einen ''/48er'' IP-Bereich zu. Dieser kann jedoch nicht direkt verwendet werden. Bei IPv6 ist für ein Netzwerk (eine Broadcastdomain) ein ''/64er'' Bereich vorgesehen. Nur bei diesem Bereich funktioniert die automatische Adressvergabe per //Router Advertisment//. Wir teilen unseren ''/48er'' Bereich also in 256 Netze von denen wir hier nur das erste verwenden. Dazu wird statt ''/48'' einfach ''/64'' geschrieben. Durch das ''::'' werden die 16 letzten Bits der Netzwerkadresse auf 0 gesetzt.
  82. <code>set interface trust ipv6 mode router
  83. set interface trust ipv6 ip 2001:6f8:1d14::1/64
  84. set interface trust ipv6 enable
  85. unset interface trust ipv6 ra link-address
  86. set interface trust ipv6 ra transmit
  87. set interface trust ipv6 nd nud</code>
  88.  
  89. ==== Policy ====
  90. Zuletzt muss nurnoch der Internetzugriff per IPv6 erlaubt werden:
  91. <code>set policy from "Trust" to "Untrust" "Any-IPv6" "Any-IPv6" "ANY" permit</code>
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!